URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 87106
[ Назад ]

Исходное сообщение
"Представлена централизованная база для проверки подлинности ..."

Отправлено opennews , 05-Ноя-12 15:25 
Исследователи безопасности из университета Беркли объявили (http://lists.randombit.net/pipermail/cryptography/2012-Novem...) о создании некоммерческого сообщества ICSI Certificate Notary (http://notary.icsi.berkeley.edu), которое будет поддерживать единую базу с информацией о валидности SSL-сертификатов. Созданный сервис проверки сертификатов является попыткой решения ключевой архитектурной проблемы процесса сертификации - при компрометации одного из сотен центров сертификации, рушится (http://www.opennet.me/opennews/art.shtml?num=33127) вся цепочка доверия (злоумышленники могут сгенерировать сертификат для любого сайта (http://www.opennet.me/opennews/art.shtml?num=31678), который будет воспринят всей системой как корректный). ICSI Certificate Notary позволяет выявлять такие обманные сертификаты на ранней стадии их появления.

На основе проведённой в течение года автоматизированной проверки, охватившей статистику по примерно 7.6 миллиардов SSL-соединений от 220 тысяч пользователей,  собраны данные об около 500 тысячах сертификатов, используемых web-сайтами в сети. Данные накоплены с использованием нескольких независимых партнёрских систем, работающих в разных частях света. Информация обновляется в непрерывном цикле, что позволяет оперативно отследить факты компрометации сертификатов. Таким образом, используя ICSI Certificate Notary любой пользователь может убедится, что сертификат, задействованный для создания SSL-соединения с заданным сайтом, выдан данному сайту, а не внедрён клиенту злоумышленниками для организации перехвата трафика.


Доступ к сервису организован в форме DNSBL. Проверка репутации сертификата осуществляется через отправку DNS-запроса в форме "хэш.notary.icsi.berkeley.edu", где хэш - SHA1-хэш от сертификата, валидность которого требуется проверить. В ответ будет возвращена TXT-запись с информацией о валидности сертификата, а также времени первой и последней проверки (например, "version=1 first_seen=15387 last_seen=15646 times_seen=260 validated=1"). Проверка сертификатов организована с задействованием поддерживаемого проектом Mozilla хранилища данных о корневых сертификатах. Интересно, что серверная часть организована с использованием оптимизированного для отдачи DNSBL зон  DNS-сервера rbldnsd (http://www.corpit.ru/mjt/rbldnsd.html), созданного нашим соотечественником, Михаилом Токаревым.

URL: http://lists.randombit.net/pipermail/cryptography/2012-Novem...
Новость: http://www.opennet.me/opennews/art.shtml?num=35232


Содержание

Сообщения в этом обсуждении
"Представлена централизованная база для проверки подлинности ..."
Отправлено Аноним , 05-Ноя-12 15:25 
Проверил - не работает

"Представлена централизованная база для проверки подлинности ..."
Отправлено a , 05-Ноя-12 16:36 
Доброго времени!
Kernel.org
7358708B1BB672D6B0C02B0A1F2CB81105700A99
$ dig +short 7358708B1BB672D6B0C02B0A1F2CB81105700A99.notary.icsi.berkeley.edu
возвращает 127.0.0.2, «валидный»

"Представлена централизованная база для проверки подлинности ..."
Отправлено Аноним , 05-Ноя-12 15:47 
Что мешает взломать и эту базу, подделав _все_ сертификаты?

"Представлена централизованная база для проверки подлинности ..."
Отправлено Алексей , 05-Ноя-12 16:24 
Эта штука не генерирует сертификатов

"Представлена централизованная база для проверки подлинности ..."
Отправлено Аноним , 05-Ноя-12 16:45 
Сгенерировать левый сертификат, взломать берклийцев, заставить их днс рапортовать о валидности хэша левого сертификата?

"Представлена централизованная база для проверки подлинности ..."
Отправлено Crazy Alex , 05-Ноя-12 21:22 
Ну так это +1 взлом

"Представлена централизованная база для проверки подлинности ..."
Отправлено filosofem , 05-Ноя-12 16:45 
поэтому взламывать её не честно?

"Представлена централизованная база для проверки подлинности ..."
Отправлено sirGrey , 05-Ноя-12 15:59 
Единая точка отказа!

Нужно что то вроде Spoof Proof DHT.
Интересная проблема - даже в распределённом варианте или бесполезна, или подвержена DOS.

Есть у EFF толковые математики?


"Представлена централизованная база для проверки подлинности ..."
Отправлено Anonymous1 , 05-Ноя-12 16:51 
Любой единый (нераспределенный) центр проверки валидности является единой точкой отказа. Вопрос: какое время Вы можете обходиться без проверки валидности сертификатов, если Вы кешируете результаты (предыдущих) проверок?

"Представлена централизованная база для проверки подлинности ..."
Отправлено тоже Аноним , 05-Ноя-12 17:14 
Ответ: такое же, как сейчас, когда такой точки нет.
Правильно?

"Представлена централизованная база для проверки подлинности ..."
Отправлено Акакий Зильбиршейн_ , 05-Ноя-12 17:26 
> Единая точка отказа!
> Нужно что то вроде Spoof Proof DHT.
> Интересная проблема - даже в распределённом варианте или бесполезна, или подвержена DOS.
> Есть у EFF толковые математики?

а у тебя есть мозги? ты че думаешь никому в голову идея о одно т.о. в голову не пришла? и как будешь колбасить распределённом вариант? распределённым досом же? а пиписька не сломается?


"Представлена централизованная база для проверки подлинности ..."
Отправлено Аноним , 05-Ноя-12 23:15 
> Интересная проблема - даже в распределённом варианте или бесполезна, или подвержена DOS.

Что-то в торрентах и осле копирасы так и не осилили завалить DHT. Хотя пытались хорошо, но пересилить несолько миллионов юзвергов у них ни разу не вышло. Эффекта было около нуля. Хотя фэйковых нодов плодили оптом.


"Представлена централизованная база для проверки..."
Отправлено arisu , 05-Ноя-12 17:45 
> централизованная база

дальше не читал: defective by design.


"Представлена централизованная база для проверки..."
Отправлено Crazy Alex , 05-Ноя-12 21:24 
Ну костыль. Зато реализуемый сейчас...

"Представлена централизованная база для проверки..."
Отправлено Аноним , 05-Ноя-12 22:53 
Вот была охота отчитываться каким-то будакам из беркелея о всех посещенных SSL сайтах.

"Представлена централизованная база для проверки..."
Отправлено Аноним , 05-Ноя-12 21:42 
> defective by design

отчего же, можно отправить на орбиту "Оплот чести -1", с начинкой от группы "Честь как аномалия", залить зоны и хэши, выкинуть модули удаленного управления в потоки солнечной радиации, обеспечить каждому неверующему возможность слетать и проверить на месте сопровождаемому телевизионной группой канала "Правда" в составе  андроидов с открытой прошивкой, на земле принимать схемами, набранными только советскими микросхемами. только не говорите, что это нереально, не расстраивайте..


"Представлена централизованная база для проверки..."
Отправлено m32 , 07-Ноя-12 11:44 
Весьма неплохо звучит.

"Представлена централизованная база для проверки..."
Отправлено XoRe , 05-Ноя-12 22:01 
>> централизованная база
> дальше не читал: defective by design.

А вы попробуйте сломать этот design.


"Представлена централизованная база для проверки..."
Отправлено Аноним , 05-Ноя-12 22:55 
> А вы попробуйте сломать этот design.

Его и ломать не надо: для начала меня совершенно не устраивает что какие-то левые перцы в курсе когда и куда я ходил. Чего ради какой-то левый беркелей будет вообще знать о том когда я заходил в онлайн банкинг??? Уху ели?!


"Представлена централизованная база для проверки..."
Отправлено XoRe , 06-Ноя-12 11:22 
>> А вы попробуйте сломать этот design.
> Его и ломать не надо: для начала меня совершенно не устраивает что
> какие-то левые перцы в курсе когда и куда я ходил.

А где написано, что ваши данные сливаются?


"Представлена централизованная база для проверки..."
Отправлено Аноним , 06-Ноя-12 11:46 
> А где написано, что ваши данные сливаются?

Простите, чтобы посмотреть базу мне надо сделать запрос в этот днсник. По оному запросу какие-то совершенно посторонние граждане как минимум видят факт посещения SSLного сайта в энный период времени. По факту я это классифицирую как built-in спайваре.


"Представлена централизованная база для проверки..."
Отправлено Антоним , 06-Ноя-12 13:14 
Спокуха — тот кто может подсунуть тебе фейковый сертификат так же сможет положить в кеш локального сервера DNS и фейковую запись об его валидности, так что никто ничего не узнает — запрос далеко не уйдёт. ;-)

"Представлена централизованная база для проверки..."
Отправлено Аноним , 06-Ноя-12 17:51 
> валидности, так что никто ничего не узнает — запрос далеко не уйдёт. ;-)

Картонный щит + спайваре в комплекте...


"Представлена централизованная база для проверки..."
Отправлено nagual , 06-Ноя-12 14:17 
>> А вы попробуйте сломать этот design.
> Его и ломать не надо: для начала меня совершенно не устраивает что
> какие-то левые перцы в курсе когда и куда я ходил. Чего
> ради какой-то левый беркелей будет вообще знать о том когда я
> заходил в онлайн банкинг??? Уху ели?!

А ведь и правда ...
Скорее всего ребята хотят срубить бабла ...


"Представлена централизованная база для проверки..."
Отправлено qux , 06-Ноя-12 20:13 
А, например, OCSP, который Online Certificate Status Protocol и в фоксе по дефолту включен, вас не смущает?

"Представлена централизованная база для проверки..."
Отправлено arisu , 06-Ноя-12 02:43 
>>> централизованная база
>> дальше не читал: defective by design.
> А вы попробуйте сломать этот design.

ты не понимаешь, почему централизованые вещи в данном случае таки сломаны уже сразу? зачем доламывать то, что изначально косое? O_O


"Представлена централизованная база для проверки..."
Отправлено thelamon , 06-Ноя-12 09:48 
>>>> централизованная база
>>> дальше не читал: defective by design.
>> А вы попробуйте сломать этот design.
> ты не понимаешь, почему централизованые вещи в данном случае таки сломаны уже
> сразу? зачем доламывать то, что изначально косое? O_O

DNS defective by design и сломан уже сразу?О_О


"Представлена централизованная база для проверки..."
Отправлено filosofem , 06-Ноя-12 10:31 
> DNS defective by design и сломан уже сразу?О_О

Гы. 3 раза.


"Представлена централизованная база для проверки..."
Отправлено Аноним , 06-Ноя-12 11:49 
> DNS defective by design и сломан уже сразу?О_О

Насквозь грабельный протокол с кучей проблем. Мало того что его просто хакали кучу раз, так еще и США уже отличились несколько раз, вывесив "Seized" на нескольких доменах без суда и следствия, просто отхапав домены по принципу "у кого в стране ICANN, тот и прав". Да и рунетчики помнится рутрекер разделегировали по желанию левой пятки.

В общем такая надежная и неубиваемая система, совсем не defective.


"Представлена централизованная база для проверки..."
Отправлено ваноним , 06-Ноя-12 12:07 
DNS - defective by design. DNS может быть распределенной

"Представлена централизованная база для проверки..."
Отправлено Аноним , 06-Ноя-12 13:17 
Да конечно, в Беркли дураки сидят. Только русский левша знает, как надо блоху подковать.

"Представлена централизованная база для проверки..."
Отправлено arisu , 06-Ноя-12 17:21 
> Да конечно, в Беркли дураки сидят. Только русский левша знает, как надо
> блоху подковать.

да, судя по новости — конкретно эту вещь делали конкретные дураки. а со своими комплексами «там они все умные, а я дурак» попробуй к врачу сходить, что ли. хотя, может, ты просто правду о себе думаешь…


"Представлена централизованная база для проверки..."
Отправлено Аноним , 06-Ноя-12 17:59 
> Да конечно, в Беркли дураки сидят. Только русский левша знает, как надо блоху подковать.

В беркли могут затупить не меньше чем где либо еще.


"Представлена централизованная база для проверки подлинности ..."
Отправлено robux , 05-Ноя-12 18:35 
Согласен с ораторами:
если бы заголовок был "Представлена децентрализованная база сертификатов",
то это была бы новость Опёнка.

А так еще один пафосный зонд от ЦРУ:
в Час Хэ этот "центр" будет отвечать фейлом нужным странам/зонам и парализует их деятельность.


"Представлена централизованная база для проверки подлинности ..."
Отправлено YetAnotherOnanym , 05-Ноя-12 19:46 
Если у властей есть голова на плечах, они могут запилить свой такой же центр, с нардами и гуриямми, который будет синхронизироваится с Берклеевским, в той части, которую оперирующая им организация сочтёт нужным. И просто тупо обязать производителей софта, продаваемого в стране, прописывать дефолтом местный центр (то же для прошивок).
Впрочем, последние события в Персии показали, что мозгов на это у властей не всегда хватает.

"Представлена централизованная база для проверки подлинности ..."
Отправлено Crazy Alex , 05-Ноя-12 21:24 
Ну ладно, от ЦРУ не защитит - зато от КомодоХакеров - вполне. Тоже неплохо.

"Представлена централизованная база для проверки подлинности ..."
Отправлено Аноним , 05-Ноя-12 22:56 
> Ну ладно, от ЦРУ не защитит - зато от КомодоХакеров - вполне.

Если заменить одних му...ков на других му...ков, это не защита а имитация бурной деятельности.



"Представлена централизованная база для проверки подлинности ..."
Отправлено thelamon , 06-Ноя-12 09:48 
Желтоватый коммент. По-моему, сама суть этого сервиса, чтобы сообщать о том, валидный ли с _его_ точки зрения сертификат или нет. + время когда он был инвалидирован. А вот решать, что делать дальше - дело пользователя. Мне кажется, пока что будет уместно показывать сообщение, аналогичное тому, какое показывают браузеры, если DNS в сертификате и в непосредственно в запросе отличаются. В таком варианте - сервис мне нравится и не вижу проблем с ним. Если он не работает - от него не будет никакой инфы == будет как сейчас.

А вот когда к этому сервису будет около 100% доверие и надёжность 99.99% (а лучше 99.9999%) - тогда для браузеров будет иметь смысл автоматически блокировать доступ.

Кстати про Single point of failure это слегка спорно. Это же DNS по сути - значит оно не слишком-то Single - можно кучу серверов поставить, ну да и так всем понятно. Инфа там автоматом реплицируется, не вижу проблемы :)

PS. И да, сторонникам теории всемирного заговора конечно будет чудиться след агентов ЦРУ везде где только можно.


"Представлена централизованная база для проверки подлинности ..."
Отправлено filosofem , 06-Ноя-12 10:37 
>Это же DNS по сути - значит оно не слишком-то Single - можно кучу серверов поставить, ну да и так всем понятно.

Верно, только наоборот. Хаксору не нужна даже централизованная база. Можно любой из серверов поломать/отравить. А для MITM спуфить DNS ответы вообще как два пальца.


"Представлена централизованная база для проверки подлинности ..."
Отправлено Аноним , 05-Ноя-12 21:58 
уже сейчас использую Perspectives для фаерфокс, дополнительный аналогичный сервис это плюс.

"Представлена централизованная база для проверки подлинности ..."
Отправлено Аноним , 06-Ноя-12 13:41 
Планету спасти не осилит, но одиозное раздолбайство удостоверяющих центров будет обнаруживать более оперативно. Осталось понять какая от этого получается польза, после краха голландцев с любым удостоверяющим центром, кроме личного, все равно работаешь на авось, на свой страх и риск.
Имхо но системы основанные на доверии при своем расширении  неустойчивы и малопригодны принципе, они могут существовать только в малых группах при наличии возможностей перепроверки. Возможно ICSI может выступить в роли такой перепроверки. Но это сильно ограниченно ибо там, в самом низу, есть раздел называется Disclaimer и в нем, что называется, все существо дела и отражено :) .